L'Istituto nazionale per la lotta alla criminalità informatica (INCC) ha preparato un rapporto che mira a far luce sulle principali sfide affrontate dal Brasile in termini di sicurezza informatica, oltre a proporre al governo 20 proposte e misure per lo sviluppo della sicurezza digitale nel paese .
Il documento ha visto la collaborazione di esperti e istituzioni di dieci settori economici che rappresentano il 70% del prodotto interno lordo (PIL) brasiliano, come la Federazione del Commercio di Beni, Servizi e Turismo di San Paolo (FecomercioSP), la Federazione delle Industrie di lo Stato di San Paolo (FIESP), la Federazione Brasiliana delle Banche (FEBRABAN), l'Associazione Brasiliana delle Imprese Pubbliche (Abrasca) e l'Associazione Brasiliana delle Imprese di Software (ABES).
Per preparare il rapporto ci sono stati anche colloqui con esperti, accademici e autorità e la consultazione di oltre 230 studi e banche dati nazionali e internazionali.
Attuale scenario informatico brasiliano
In Brasile sono attualmente 464 milioni i dispositivi digitali attivi (come computer, notebook, smartphone e tablet), considerando l'uso domestico e aziendale, secondo un'indagine condotta da FGV nel 2023.
In questo scenario, esistono una serie di vulnerabilità sfruttate dagli attacchi ransomware e si verificano perdite di dati. Entrambi stanno diventando più frequenti e più dannosi.
Una ricerca Real Time Big Data mostra che il 71% dei brasiliani non sa come utilizzare gli strumenti di sicurezza in caso di furto. Un altro studio, di ESET, indica che il 60% di chi usa il cellulare non ha antivirus sui propri dispositivi e uno di dfndr lab sottolinea che il 40% delle persone che usano il computer al lavoro hanno avuto problemi con i virus.
Secondo Fortinet, il Brasile è il secondo paese più colpito dagli attacchi informatici in America Latina, oltre al recente blackout informatico globale, avvenuto il mese scorso che ha colpito alcuni sistemi del paese.
“Si tratta di un contributo senza precedenti da parte della società al rafforzamento della sicurezza nell’ambiente digitale del Brasile. È molto gratificante aver visto la mobilitazione di così tante persone ed entità attorno a un’alleanza del settore privato, al fine di generare un’influenza positiva, attraverso proposte e un dialogo intenso a favore di politiche pubbliche più efficaci in questo settore”, ha affermato il fondatore e CEO dell'INCC, Luana Tavares.
Il Brasile si trova al 18° posto nella classifica di maturità dei paesi in materia di sicurezza informatica, il Global Cybersecurity Index, stilata dalle Nazioni Unite (ONU), il che, secondo Tavares, non è così sfavorevole. Tuttavia, è il secondo paese più attaccato al mondo e, secondo il CEO, questa discrepanza si spiega con il modo in cui la criminalità organizzata è insediata in Brasile ed è già migrata nell’ambiente digitale.
Questo scenario rende urgente lo sviluppo e l’integrazione delle politiche pubbliche in diversi ambiti a livello nazionale e subnazionale, oltre ad una forte partnership con il settore privato per affrontare strutturalmente la crescita incontrollata di crimini che colpiscono quotidianamente i brasiliani, le imprese e lo stesso governo. base.
Luana Tavares, fondatrice e CEO di INCC
Contenuto del rapporto a favore della sicurezza informatica in Brasile
- Tra i contenuti trattati nel documento figurano:
- Sensibilizzazione della società, compresa la formazione di professionisti specializzati, finanziamenti e incentivi;
- Creazione di un quadro giuridico, regolamentare e normativo più solido ed efficace;
- Enfasi degli argomenti a difesa della creazione di una struttura centrale di coordinamento della sicurezza informatica, come già esiste in paesi come Stati Uniti, Regno Unito e Cile.
- Il rapporto, inoltre, costituisce il primo contributo dell'INCC all'Ufficio per la Sicurezza Istituzionale della Presidenza della Repubblica (GSI);
- Fa parte di un accordo di cooperazione tecnica firmato giovedì (1), in un evento presso l'auditorium FecomercioSP;
- L’obiettivo è collaborare a ricerche e progetti che possano aiutare il Brasile ad aumentare la sua resilienza e maturità informatica.
Punti evidenziati dal rapporto
Il rapporto afferma che gli investimenti nella sicurezza informatica in Brasile sono molto bassi. A titolo di confronto, nel 2015, il Regno Unito disponeva già di capacità informatiche più avanzate di quelle presentate dal Brasile nel 2020 (in cinque anni, in media, è stato investito annualmente nel Regno Unito l’equivalente di 1,35 miliardi di R$, mentre la media brasiliana nel periodo è stato di R$15 milioni).
“Dal 2020 ad oggi, abbiamo fatto diversi progressi nel campo della sicurezza informatica. La LGPD è stata un risultato importante, ma abbiamo visto i crimini digitali aumentare in volume e complessità, il che ci porta a credere che questi miglioramenti non siano stati sufficienti o addirittura non riflettessero l’evoluzione degli indicatori”, commenta Fábio Diniz, fondatore e presidente dell'INCC.
Un altro punto importante evidenziato è il cosiddetto “analfabetismo digitale”, che, in Brasile, deriva dalla lentezza dell’educazione digitale di fronte all’avanzamento accelerato dell’inclusione digitale. In altre parole, gran parte della popolazione non sa, o non sa, come proteggersi dai crimini virtuali e dalle minacce informatiche, rendendola più vulnerabile alle truffe.
“In questo modo, la vulnerabilità della società, in termini di conoscenza della sicurezza informatica, unita al costo molto basso per i criminali quando commettono questo tipo di crimini, ha generato lo scenario catastrofico in cui viviamo oggi”, valuta Diniz.
Vale la pena evidenziare un sondaggio realizzato da IBM nel 2023, da cui risulta che il 62% degli attacchi informatici erano diretti contro le piccole e medie imprese. “Gli investimenti, le linee di credito speciali e le politiche educative rivolte alla popolazione e alle imprese devono essere prioritari nelle azioni nazionali di sicurezza informatica, seguendo l’esempio di paesi come il Portogallo e il Regno Unito”, aggiunge Diniz.
“Non possiamo dimenticare che il Brasile ha un deficit elevato di professionisti della sicurezza informatica, pari a 441mila, e che siamo leader mondiale nei licenziamenti nel settore della sicurezza informatica, secondo l’indagine ISC 2021”, rafforza Luana.
Guardando a questo panorama, entità settoriali, organizzazioni sociali ed esperti tecnici hanno inviato all'INCC 52 proposte di soluzioni volte ad aumentare la resilienza informatica del Brasile. Sei assi strategici sono stati considerati dal comitato tecnico dell'istituto:
- Sensibilizzazione della società;
- Adeguatezza del capitale umano;
- Coinvolgimento e integrazione multi-istituzionale;
- Informazioni e conoscenze specialistiche;
- Finanziamenti e incentivi;
- Quadro giuridico, regolamentare e normativo.
Sono stati inoltre considerati due criteri: contenuto strategico e fattibilità di esecuzione. Delle 52 proposte, 20 hanno avuto la priorità nel rapporto completo consegnato al GSI.
Per saperne di più:
Obiettivi e proposte dell'alleanza al governo brasiliano
Nel primo asse, l'obiettivo è aumentare la conoscenza e l'impegno sociale della società sulla sicurezza informatica in Brasile, con proposte per realizzare campagne di sensibilizzazione pubblica incentrate su reti mobili e social network, investimenti nell'istruzione obbligatoria sul tema e creazione e diffusione di una « biblioteca « di contenuti.
Per quanto riguarda l’asse dell’adeguatezza del capitale umano, l’obiettivo è ridurre il deficit di professionisti in Brasile. A tal fine, le proposte includono la creazione di centri di formazione specializzati, la stimolazione dei talenti nelle carriere nel campo della sicurezza informatica e una regolamentazione per garantire la resilienza operativa per le applicazioni critiche.
Per quanto riguarda l’impegno e l’integrazione multi-istituzionale, si prevede l’implementazione di una struttura che garantisca un maggiore coordinamento nazionale in materia di sicurezza informatica. Per raggiungere questo obiettivo, il rapporto suggerisce la creazione di un Centro o Agenzia nazionale per la sicurezza informatica, che tenga corsi sugli accordi internazionali (Convenzione di Budapest e MLAT, per esempio), che crei una rete per condividere informazioni sulle minacce e che espanda le stazioni di polizia specializzate in crimini informatici.
Per diffondere informazioni e conoscenze specialistiche, oltre a creare database affidabili con accesso integrato, al fine di garantire che il Brasile disponga di un database affidabile, le azioni prioritarie sono: sviluppo e implementazione di standard di sicurezza informatica, creazione di una piattaforma nazionale per la segnalazione di incidenti informatici e sviluppare capacità di risposta agli incidenti.
Con l’obiettivo di ridurre il gap finanziario e stimolare gli incentivi alla sicurezza informatica, la proposta prevede la creazione di una linea di credito per le piccole e medie imprese (PMI) attraverso la Banca nazionale per lo sviluppo economico e sociale (BNDES), incentivi fiscali e/o sussidi per aziende, linee di finanziamento per progetti di sicurezza informatica nel Sistema Educativo Brasiliano (SEB) e la strutturazione di un fondo per combattere la criminalità informatica con risorse derivanti dai crimini stessi.
Infine, il rapporto propone anche la creazione di un nuovo quadro legislativo penale per i crimini informatici. Le proposte del Framework includono un nuovo quadro giuridico per i crimini informatici, il rafforzamento giuridico e normativo per i dispositivi IoT e l’autonomia finanziaria dell’Autorità nazionale per la protezione dei dati (ANPD).
Lo studio sottolinea inoltre che una delle principali sfide da superare è la mancanza di dati e statistiche provenienti da fonti pubbliche che supportino lo sviluppo di politiche pubbliche, obiettivi e risultati basati sull’evidenza per l’argomento.
In questo modo, si raccomanda al governo e ad altri agenti pubblici di creare ricerche e acquisire dati strutturati dallo Stato, in modo che gli obiettivi possano essere quantificati e monitorati a medio e lungo termine.
Partecipazione delle imprese
Tra le proposte elencate, FecomercioSP, che ha ospitato l'incontro, evidenzia sette punti essenziali:
- Rafforzare la governance e il coordinamento;
- Tutela dei servizi essenziali;
- Risposte agli incidenti;
- Formazione e istruzione;
- Ricerca e sviluppo;
- Legislazione e regolamentazione;
- Scambio internazionale;
- Maggiore accesso al credito per le PMI.
Per quanto riguarda la creazione dell’Agenzia nazionale per la cybersecurity, la Federazione sostiene che una politica di cybersecurity soddisfacente deve basarsi sul rafforzamento dell’ecosistema nazionale e, in questo senso, è importante sviluppare un organismo di regolamentazione con autonomia tecnica e decisionale, che possa consolidare e coordinare il processo con gli esperti.
Un'altra visione dell'ente si riferisce al Marco Civil da Internet, che attualmente non dispone di controlli tecnici di base e misure amministrative di sicurezza. Tali dispositivi potrebbero essere incorporati in un aggiornamento del decreto 8771/2016 che lo regolamenta.
FecomercioSP ricorda inoltre che, per ridurre al minimo gli impatti sull'economia e sulla sicurezza nazionale, è essenziale mantenere in funzione i servizi essenziali durante un attacco informatico e, a tal fine, è necessario ridurre le vulnerabilità del sistema e aumentare la sua capacità di rilevare le minacce, oltre a rispondere. a loro.
Senza contare che, secondo l’istituto, sviluppare una solida cultura della sicurezza digitale passa anche attraverso l’integrazione della cybersecurity nei programmi scolastici e universitari, con l’obiettivo di preparare la prossima generazione a questo contesto.